Baja probabilidad Linksys Problema de seguridad informado por Testaankoop

Cualquier informe de un posible problema de seguridad se toma en serio y se toman medidas al respecto. Linksys. Como empresa pionera en el desarrollo de enrutadores domésticos y que ha estado operando a nivel mundial durante casi 4 décadas, nuestros procedimientos y respuestas de seguridad siempre son objetivos y transparentes. Esta comunicación es una respuesta pública a un informe sobre un problema de seguridad informado por primera vez por Testaankoop, aunque no parece haberse originado con ellos ni han confirmado o mostrado pruebas de haber reproducido el problema. Hasta la fecha, nadie más que Rapid7, que Linksys contratado para probar nuestros productos, siempre ha podido reproducir el problema y solo en circunstancias de laboratorio especiales, utilizando herramientas especializadas y con permisos sin restricciones tanto para la LAN como para la WAN.

Antes de leer la respuesta a continuación, es fundamental comprender que Linksys'La arquitectura y las operaciones son exclusivas de la industria. NO recopilamos ni almacenamos ningún dato de dispositivo o usuario generado por nuestros enrutadores domésticos o el Linksys Aplicación móvil. Si utiliza la Linksys Aplicación móvil: los elementos de datos seleccionados se utilizan durante la instalación y configuración, pero nunca se almacenan ni se observan. LinksysSi se utiliza la interfaz de usuario local basada en navegador, ninguno de los datos utilizados para la instalación, configuración u operación en curso se ve nunca, y mucho menos se almacenan. Linksys;Todo permanece local en su dispositivo.

Cronología de baja probabilidad Linksys Problema de seguridad informado por prueba de compra

• 19 de septiembre de 2023: Recibieron Rapid7 informe, ejecutado en nombre de Linksys, con respecto a un problema de configuración de seguridad de baja probabilidad (Prioridad 3/Severidad 3) en dos (2) Linksys SKU de venta minorista
• Noviembre 28th, 2023: Linksys Marketing reenvió un correo electrónico de Which? reportando esta misma vulnerabilidad (usando exactamente la misma redacción que Rapid7) a Linksys desarrollo
• Noviembre 28th, 2023: Linksys El desarrollo respondió a Which? el mismo día y se le proporcionó un Formulario de Seguridad para que lo envíe nuevamente a Linksys desarrollo
• Noviembre 30th, 2023: Which? contestado Linksys Solicitud del 28 de noviembre, pero no proporcionó detalles adicionales y no pudo/no confirmó que podía reproducir el problema.
• 4 de diciembre de 2023: Which? Envió un informe público a través de Bug Crowd, actualizando el problema a probabilidad moderada, pero no proporcionó detalles adicionales ni procesables.
• 5 de diciembre de 2023: Multitud de insectos  Confirmaron que no pudieron reproducir el problema y le pidieron a Which más información. Que no respondió a la solicitud de BugCrowd
• 5 de diciembre de 2023: Un investigador de mercados de Bélgica envió un correo electrónico Linksys Marketing, haciendo referencia al Informe BugCrowd que se presentó, pero no proporcionó detalles adicionales y no confirmó que pudieran

Evaluación de exposición del problema de seguridad de baja probabilidad informado por Testaankoop

• Exposición limitada: Dos (2) SKU afectados (Linksys Velop Pro 6E y Linksys Velop Pro 7) - para explotar el problema de configuración de seguridad, que se limita al lado WAN/ISP, el "malhechor" necesitaría herramientas altamente especializadas junto con acceso físico en tiempo real al enrutador doméstico y visibilidad total y permiso para atravesar la red del ISP.
• Riesgo del mundo real de baja probabilidad: La explotación potencial requeriría condiciones múltiples y altamente improbables para alinearse:
• Acceso físico y por cable al enrutador doméstico (requiere que el hacker esté en el hogar con herramientas especializadas)
• Acceso a la infraestructura y cifrado del ISP (requiere permiso del ISP o que la red sea pirateada)
• Uso de la Linksys Aplicación móvil (la mayoría de Linksys Los usuarios utilizan la interfaz de usuario local o el navegador para configurar los SKU afectados, no la aplicación móvil)

Linksys Medidas adoptadas para mitigar el problema de seguridad de baja probabilidad informado por Testaankoop

• Descubrimiento: Linksys El contratista Rapid7 descubrió e informó el problema que se clasificó como Prioridad 3/Severidad 3
• Los problemas de P3/S3 se solucionan de forma rutinaria entre 6 y 9 meses después de ser reportados
• Linksys Cambio del lado del servidor (independiente del firmware) Linksys Ya ha comenzado una implementación controlada de un cambio de configuración del lado del servidor que evita el problema de configuración de seguridad informado. No se espera tiempo de inactividad para la implementación.
• Linksys Cambio del lado del cliente: El firmware del lado del cliente para los dos (2) SKU minoristas afectados incluye protección adicional al cambio del lado del servidor mencionado anteriormente y estará disponible el 26 de julio. Los clientes pueden abrir un ticket de soporte para solicitar una construcción de ingeniería hoy
• Configuración del enrutador basado en navegador/UI local: Linksys continúa promoviendo la instalación y configuración basada en la interfaz de usuario local y el navegador en lugar de utilizar el Linksys Aplicación Movil
• Nota: La baja probabilidad Linksys El problema de seguridad nunca estuvo presente cuando se utilizó la interfaz de usuario/navegador local para instalar y configurar los SKU afectados en lugar de Linksys Aplicación Movil

SKUS afectados por el problema de seguridad de baja probabilidad informado por Testaankoop

• Linksys Actualmente, se envían más de 150 SKU a nivel mundial; dos (2) SKU minoristas se ven afectados, pero actualmente se consideran seguros para operar porque el cambio del lado del servidor ya se implementó y será doblemente seguro una vez que el firmware del lado del cliente se actualice antes del 30 de julio.
• Los SKU afectados son todos los SKU minoristas: MX62xx, MBE7xxx.
• Tenga en cuenta que ningún SKU de proveedor de servicios de Internet (ISP) ni los más de 100 SKU minoristas se ven afectados